De AIVD en de MIVD hebben op 30 juni Nederlandse organisaties expliciet gewaarschuwd voor een phishingcampagne van Russische staatshackers die het gemunt heeft op de back-ups van chatapp Signal. De diensten onderschrijven daarmee, op basis van eigen onderzoek, een waarschuwing die de Amerikaanse inlichtingendiensten vier dagen eerder afgaven. Het venijn zit in wat de aanvallers proberen buit te maken: niet je inlogcode, maar de herstelsleutel van je Signal-back-up, en daarmee je volledige berichtgeschiedenis.
Wat de diensten nu melden
De waarschuwing is nieuw en staat los van de campagne waar de AIVD al in maart voor waarschuwde. Toen ging het om het kapen van losse accounts; nu gaat het om een extra, gevaarlijker stap. De aanvallers doen zich in Signal voor als de officiele support van de app en creeren tijdsdruk, bijvoorbeeld met een verhaal over verplichte tweefactorverificatie of dreigend dataverlies, om je zover te krijgen dat je je Signal Backup Recovery Key afstaat.
De doelwitten zijn bekend uit eerdere golven: hooggeplaatste functionarissen, ambtenaren, militairen en journalisten in westerse landen, waaronder Nederland, plus Oekraiense sleutelfiguren en anderen die voor de Russische inlichtingendiensten interessant zijn. AIVD-directeur-generaal Simone Smit wijst erop dat aanvallers telkens nieuwe manieren zoeken om gebruikers op het verkeerde been te zetten. De diensten noemen de Russische operatie nog altijd uitzonderlijk grootschalig en effectief. Hoe die back-upsleutel precies werkt en waarom de FBI en CISA er het eerst voor waarschuwden, staat in de analyse over hoe Russische hackers via de Signal-backupsleutel je volledige berichthistorie op hun eigen toestel terugzetten.
Waarom die back-upsleutel zo gevaarlijk is
Signal introduceerde eind 2025 versleutelde back-ups die worden beschermd met een 64 tekens lange herstelsleutel die op je eigen toestel wordt gegenereerd en die zelfs Signal niet kan herstellen of resetten. Dat ontwerp is juist bedoeld om jou als enige toegang te geven. Maar precies daarom is die sleutel goud waard voor een aanvaller: wie hem heeft, kan de versleutelde back-up op een eigen toestel terugzetten en komt zo bij je berichten van de afgelopen 45 dagen, inclusief foto's en gedeelde documenten, en kan je account volledig overnemen.

Het gevaar is bovendien hardnekkig. Wie zijn herstelsleutel al heeft weggegeven, kan een nieuwe genereren, maar dat beschermt alleen toekomstige back-ups. Back-ups die met de oude sleutel al zijn opgehaald, blijven voor de aanvaller toegankelijk. Een nieuw account met hetzelfde telefoonnummer helpt evenmin: de eenmaal buitgemaakte gegevens zijn dan al weg.
Wat dit betekent voor Nederlandse bedrijven
Berichtenapps als Signal en WhatsApp zijn ondanks hun sterke versleuteling geen kanaal voor vertrouwelijke informatie, benadrukt MIVD-directeur Peter Reesink bij de nieuwe waarschuwing. Voor een bedrijf met gevoelige chatgeschiedenis op zakelijke telefoons is dat geen abstracte spionagewaarschuwing, maar een concrete opdracht. De zwakte zit niet in de app, maar in de mens die onder tijdsdruk een sleutel in een chat plakt, precies waarom phishing geen software- maar een procesprobleem is dat je verdedigt met je werkwijze, niet met nog een tool.
Drie dingen zijn nu verstandig. Maak van een simpele regel een reflex: codes, pincodes en herstelsleutels gaan nooit een chat in, ook niet als het bericht van 'support' lijkt te komen, want een legitieme dienst vraagt daar nooit om. Denk kritisch na over de back-upfunctie zelf op werktoestellen, en behandel een herstelsleutel die ooit is gedeeld als gecompromitteerd: genereer direct een nieuwe en ga ervan uit dat oude back-ups in verkeerde handen kunnen zijn. En houd echt vertrouwelijk overleg weg uit consumenten-berichtenapps. Dat de Amerikaanse overheid inmiddels 10 miljoen dollar uitlooft voor tips over deze Russische hackersgroepen laat zien hoe serieus het probleem wordt genomen.
De versleuteling van Signal is niet gekraakt, en dat is precies het punt. De aanval mikt op de gebruiker, niet op de techniek. Zolang je je mensen daarop traint en gevoelige gesprekken niet aan een consumentenapp toevertrouwt, verliest deze campagne het grootste deel van haar kracht.
Veelgestelde vragen
Beveiliging die je werkwijze volgt
Phishing als deze versla je niet met nog een tool, maar met processen en systemen die kloppen. Ik denk met je mee, ontwerp en bouw die werkwijze end-to-end, self-hosted waar dat kan, zodat gevoelige communicatie niet afhangt van een enkele oplettende medewerker.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
